Calm Hill My Random Thoughts

Tunnelling Multi-Region VPC

AWS မှာက သာမန်အနေနဲ့ ကြည့်မယ်ဆိုရင်တော့ အဆင်သင့်သုံးစရာ Service တွေပဲလို ထင်စရာရှိပေမယ့် တကယ်တမ်း သုံးတဲ့အခါမှာတော့ ကိုယ်လိုချင်တာက မရှိတာများပါတယ်။ AWS ပေါ်မှာ Software Deployment က Multiple Region ဖြစ်လာပြီဆိုရင် နည်းနည်းဇာတ်လမ်း ရှုပ်လာတာက Software Development လုပ်တဲ့လူက Infrastructure ကို စဉ်းစားတဲ့အခါ Network Structure ကိုပါ ထည့်ပြီးတော့ စဉ်းစားလာရတယ်။

အခုနောက်ပိုင်းမှာ AWS က EC2 တွေမှာ VPC ကိုပဲ Support လုပ်တော့တယ်။ VPC တွေရဲ့ပြဿနာက Single Region မှာဆိုရင် Different VPC တွေရဲ့ Connectivity အတွက်က VPC Peering လုပ်လို့ရပေမယ့် Region မတူတဲ့ VPC တွေကတော့ AWS က ပေးထားတဲ့ Service တွေနဲ့ ဘယ်လိုမှ Connect လုပ်လို့မရပါဘူး အဲဒါကြောင့် Physical Network ၂ ခုကို Tunnel လုပ်သလိုပဲ EC2 Instances ၂ လုံးနဲ့ Software Layer နဲ့ Tunnel လုပ်ပြီးတော့ Connect လုပ်ယူလိုက်ရတယ်။

Physical Server မှာ Setup လုပ်တာနဲ့ Installation မှာ သိပ်မကွာခြားပေမယ့် AWS နဲ့ပဲသက်ဆိုင်တဲ့ သီးသန့်လုပ်ရမယ့် တချို့ကိစ္စတွေထဲက တခုလောက်ပဲ ကျန်နေခဲ့ရင်ကို ဘယ်လိုမှ Setup လုပ်လို့မရပါဘူး အဲဒါကြောင့် နောက်တချိန် ပြန်ပြီးတော့ လုပ်စရာရှိခဲ့ရင် မမေ့အောင်နဲ့ အသုံးတည့်တဲ့လူ ရှိခဲ့သည်ရှိသော်ဆိုပြီး Manual ကို Blog မှာရေးပြီး မှတ်ထားတာပါ လူအများစုအတွက် အသုံးကျလိမ့်မယ် မဟုတ်ပါဘူး။

  1. VPC 2 ခုကို သက်ဆိုင်ရာ Region တွေမှာ Create လုပ်ပါ။ CIDR ကို သက်ဆိုင်ရာ VPC တခုစီအတွက် သတ်မှတ်ပေးပါ စမ်းကြည့်မယ်ဆိုရင်တော့ ခွဲခြားရလွယ်အောင် တဘက်က 10.10.0.0/16 ဆိုရင် နောက်တဖက်ကို 172.10.0.0/16 စသည့်ဖြင့် ပေးထားတယ်ဆိုရင် ခွဲခြားရလွယ်ပါလိမ့်မယ်။
  2. Create လုပ်ထားတဲ့ VPC တွေမှာ DHCP Resolution နဲ့ DHCP Hostname ကို မမေ့မလျော့ Enable လုပ်ပါ မလုပ်ခဲ့ရင် နောက်ပိုင်းမှာ Hostname တွေနဲ့ အလုပ်လုပ်တဲ့ Software ပေါင်းစုံမှာ ပြဿနာလုပ်ပါလိမ့်မယ်။
  3. ပြီးရင်တော့ Subnets တွေကို Create လုပ်ပေးဖို့လိုမယ် CIDR ဟာ 16 bits အထိပဲ အကြီးဆုံးပေးလို့ရတယ် Subnets မှာတော့ 16 bits ထက်ပိုပြီး ပေးလို့ရပါတယ် လိုအပ်တယ်ဆိုရင် စိတ်ကြိုက် Create လုပ်ပါ။
  4. နောက်တဆင့်အနေနဲ့ VPC တခုစီအတွက် Internet Gateways တခုစီ Create လုပ်ပါ။ VPC တခုစီ Create လုပ်လိုက်တဲ့အခါ Default အားဖြင့် Route Table ၁ ခုစီကို Create လုပ်ပြီးသားဖြစ်ပါလိမ့်မယ် အဲဒီ Route Table တွေမှာ 0.0.0.0/0 အတွက် သက်ဆိုင်ရာ Internet Gateways တွေကို Configure လုပ်ပါ။
  5. VPC တွေထဲက Instances တွေအတွက် Security Groups ၁ ခုစီလည်း Create လုပ်ထားရမယ်။ VPC ၂ ခုကို IPsec နဲ့ Tunnel လုပ်မှာဖြစ်တဲ့အတွက် UDP Ports 500 နဲ့ 4500 ကို ဖွင့်ထားပေးဖို့လိုအပ်မယ် Setup လုပ်ဖို့အတွက် SSH ကိုလည်း ဖွင့်ထားဖိုလိုမယ် SSH ကတော့ Setup လုပ်ပြီးတာနဲ့ ပြန်ပိတ်လို့ရပါတယ်။ IPsec အတွက် UDP တွေကတော့ ပိုပြီး Secure ဖြစ်ချင်လို့ Public ကို ဖွင့်မပေးချင် သက်ဆိုင်ရာ CIDR ရဲ့ Subnet နဲ့ဖြစ်ဖြစ် Tunnel လုပ်မယ့် Instances ၂ ခုရဲ့ IP အတိအကျနဲ့ပဲဖြစ်ဖြစ်ပဲ ဖွင့်ပေးထားရင်ရတယ်။
  6. VPC ကိစ္စတွေပြီးရင်တော့ Tunnelling အတွက် EC2 Instances တွေကို သက်ဆိုင်ရာ Region ၁ ခုစီမှာ Create လုပ်ပါ Setup လုပ်ရတာ မြန်တဲ့ Ubuntu ကို 15.04 သုံးထားတယ်။ Instances တွေမှာ IP ကို Fixed ပေးပါ အဲဒါမှပဲ Setup လုပ်ရလွယ်ပါမယ် အခု Setup မှာတော့ 10.10.1.10 နဲ့ 172.10.1.10 ဆိုပြီး တခုစီ ပေးလိုက်တယ်။
  7. Elastic IP တခုစီလည်း Assign လုပ်ပါ။ Elastic IP ကတော့ မလုပ်မဖြစ်မဟုတ်ပါဘူး Instance ၂ ခုရဲ့ရလာမယ့် Public IP ကိုသုံးလည်းရပါတယ် ဒါပေမယ့် Instance ကို Stop လုပ်ဖို့ လိုအပ်မယ်ဆိုရင် Public IP က ပြောင်းမှာဖြစ်လို့ Software တွေ Reconfigure လုပ်ရနိုင်ပါတယ် အဲဒါဆိုရင်တော့ Elastic IP က ပိုအဆင်ပြေပါလိမ့်မယ်။
  8. Instances ၂ ခုလုံးရဲ့ Source/Destination Check ကို Disable လုပ်ရမယ်။ အဲဒီ Option ဟာ Networking အောက်မှာရှိတယ်။ Disable မလုပ်ထားရင် Software အားလုံး Setup လုပ်ပြီးသွားရင်တောင် အလုပ်လုပ်မှာ မဟုတ်ပါဘူး။
  9. Instances ၂ လုံးမှာ strongSwan ကို Install လုပ်ဖို့လိုပါတယ်။ sudo apt-get install strongswan
  10. ပြီးရင်တော့ IPsec ကို Configure လုပ်ရမယ် VPC ၁ ခုစီမှာရှိတဲ့ Instances ၂ လုံးလုံးမှာ Configure လုပ်ဖို့လိုတယ် Config ဟာ ၁ ခုနဲ့ ၁ခုဟာ အပြန်အလှန် Local - Remote အဖြစ်ရှိတဲ့အတွက် ပြောင်းပြန်ကွာပါတယ်။ /etc/ipsec.conf ထဲမှာ နည်းနည်းစီထည့်ရမယ်။
    conn virginia-to-singapore
        ike=3des-md5-modp1024
        ikelifetime=28800s
        keyexchange=ikev1
        esp=3des-md5
        lifetime=3600s
        rekey=yes
        type=tunnel
        authby=secret
        left=%defaultroute
        leftid=<Local EIP or PIP>
        leftsubnet=<CIDR of local VPC>
        right=<Remote EIP or Public IP>
        rightsubnet=<CIDR of remote VPC>
        auto=start

/etc/ipsec.secrets ထဲမှာလည်း Tunnel Authentication အတွက် Pre-configured လုပ်ထားတဲ့ Key ထည့်ပေးဖို့လိုသေးတယ်။

    <Local EIP or PIP> <Remote EIP or PIP> : PSK “Your Secret Keys”
  1. ပြီးပြီဆိုရင်တော့ IPsec ကို Restart လုပ်ရင် Tunnel က စပြီးတော့ အလုပ်လုပ်ပါပြီ။
    sudo ipsec restart
  1. ဒီအဆင့်ပြီးရင်တော့ 10.10.1.10 နဲ့ 172.10.1.10 ကတော့ Different VPC ဖြစ်ပေမယ့် Visible ဖြစ်နေပါပြီ ဒါပေမယ့် သက်ဆိုင်ရာ VPC ထဲက အခြားစက်တွေ အတွက်ကတော့ အဆင်သင့် မဖြစ်သေးပါဘူး အကယ်၍ 10.10.1.11 ရှိခဲ့ရင် 172.10.1.11 ကို မရောက်နိုင်သေးသလို 172.10.1.11 ကနေလည်း 10.10.1.11 ကို မရောက်နိုင်သေးပါဘူး အဲလို Traffic တွေကို 10.10.1.10 နဲ့ 172.10.1.10 ကနေတဆင့် Forward လုပ်ပေးမှ ရောက်ပါလိမ့်မယ် အဲဒီအတွက်ကတော့ Kernel parameters တချို့ကို configure လုပ်ဖို့လိုပါမယ်။ /etc/sysctl.conf ထဲမှာ သွားထည့်ပါ။
    net.ipv4.ip_forward = 1
    net.ipv4.conf.all.accept_redirects = 0 
    net.ipv4.conf.all.send_redirects = 0

ပြီးရင်တော့ Instance ကို restart ချရင်ချ မဟုတ်ရင်တော့ ပြင်လိုက်တဲ့ sysctl.conf က parameters တွေကို apply လုပ်ပေးဖို့လိုမယ်။

    sudo sysctl -p /etc/sysctl.conf
  1. နောက်ဆုံးအဆင့်အနေနဲ့ VPC တွေရဲ့ Route Table မှာ Remote VPC တွေရဲ့ CIDR တွေအတွက် ဖြတ်သွားရမယ့် Route အတွက် သက်ဆိုင်ရာ Instance ကိုထည့်ပေးရမယ် အဲဒါဆိုရင် VPC ၂ ခုလုံးအတွင်းမှာရှိတဲ့ Instances တွေအားလုံးဟာ Visible ဖြစ်ပါပြီ။
comments powered by Disqus